특히 이번 조사에서 드러난 충격적인 사실은 해킹의 타깃이 된 로그 파일에 고객의 주민등록번호 13자리가 아무런 암호화 없이 통째로 기록되어 있었다는 점이다.
윤여진 개인정보보호위원회 조사1과장이 12일 서울 종로구 정부서울청사에서 전체회의 관련 브리핑을 하고 있다. 개인정보보호위원회는 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2천만원과 과태료 480만원을 부과했다고 밝혔다. (사진=연합)
개인정보위는 지난 11일 제4회 전체회의를 열어 롯데카드의 주민등록번호 처리 위반과 관련해 과징금 96억2000만원과 과태료 480만원 부과를 의결했다고 12일 밝혔다.
또 처분 사실을 회사 홈페이지에 공표하도록 했다. 아울러 롯데카드에 대해 개인정보 처리 현황 전반을 점검하고 개인정보 보호책임자(CPO)의 책임성과 독립성을 강화하는 등 개인정보 보호 체계를 전반적으로 정비하라는 시정명령도 내렸다.
개인정보위 조사 결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출됐으며, 이 가운데 약 45만명의 주민등록번호도 함께 유출된 것으로 확인됐다. 이번 조사는 지난해 9월 22일 금융감독원이 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐다.
특히 개인정보위 조사 결과 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 ‘평문’ 상태로 기록해 온 것으로 드러났다. 평문이란 암호화 처리를 거치지 않아 누구나 읽을 수 있는 텍스트다. 주민번호 13자리가 가려짐 없이 그대로 노출되어 있어, 해커가 침입했을 때 별도의 해독 과정 없이 핵심 정보를 즉시 확보할 수 있는 ‘고속도로’를 열어준 셈이다.
개인정보위는 이를 보안 원칙을 정면으로 위반한 엄중한 사안으로 보고, 과징금 산정 시 최상위 등급인 ‘매우 중대한 위반 행위’로 분류했다.
◇SKT 1348억 vs 롯데카드 96억…“45만명 주민번호 유출만 판단”
다만 유출 규모에 비해 과징금이 적다는 지적에 대해 개인정보위는 이날 정부서울종합청사에서 진행된 브리핑에서 산정 기준의 차이를 설명했다.
역대 최대 과징금을 기록한 SK텔레콤(1348억원)은 전반적인 ‘안전조치 의무 위반’을 다뤘지만, 이번 건은 금융당국과의 역할 분담에 따라 ‘주민등록번호 처리 및 암호화 위반’에만 집중해 과징금을 매겼다.
개인신용정보 처리에 관한 사항은 신용정보의 이용 및 보호에 관한 법률이 우선 적용되는 반면, 해당 법에 규정되지 않은 개인정보 처리 사항은 개인정보 보호법이 적용된다. 이에 금융당국은 개인신용정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 조사했고, 개인정보위는 주민등록번호 처리 과정에서의 보호법 위반 여부를 집중적으로 살폈다.
개인정보위는 롯데카드 과징금 산정 시 유출 규모(297만명)보다는 부적절하게 처리된 주민등록번호 규모(45만명)와 그 과정에서의 고의·과실 여부를 중대성 판단 기준으로 삼았다는 설명이다.
또 과징금 산출 근거가 되는 매출액을 전체 매출이 아닌 위반 행위와 직결된 ‘온라인 결제 서비스’ 매출로 한정한 것도 금액 차이의 원인이 됐다.
롯데카드 유출 정보는 주민등록번호, 카드 번호, 온라인 결제 내역 등이 포함됐으며, 주소나 휴대폰 번호는 개인보위의 직접적인 판단 대상에서 제외됐다. 금융위원회의 별도 조사가 진행 중인 만큼, 롯데카드가 개인 신용정보 유출과 관련된 전반적인 ‘안전 조치 의무 위반’과 관련해 부담할 최종 제재 수위는 더 높아질 전망이다.
◇‘매출 10%’ 과징금 개정법 피한 롯데카드
개인정보위는 정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%를 과징금으로 물릴 수 있는 개인정보보호법 개정안을 지난 10일 공포했다. 시행은 6개월 뒤인 9월 11일부터다.
이에 롯데카드는 이번에 개인정보 유출로 전체 매출의 최대 10%까지 부과할 수 있는 개정법 적용은 피했다. 과징금 부과는 원칙적으로 ‘사고 발생 시점’의 법령(3% 기준)을 따른다.
개인정보위는 위반 행위가 개정법 시행 이후까지 지속된다면 상향된 10% 기준이 적용될 수 있다는 설명이다. 예전에 발생한 위반이라도 시행일 이후까지 방치된다면 기업 매출액의 10%에 달하는 ‘징벌적 과징금’ 대상이 될 수 있다는 것이다.
개인정보위는 롯데카드 사건을 계기로 금융권의 주민등록번호 처리 관행에 대한 점검도 추진한다는 계획이다.
개인정보위는 “법적 근거가 없거나 불필요한 주민등록번호 처리가 관행적으로 이뤄지고 있는지 확인하기 위해 금융 분야 사업자를 대상으로 사전 실태점검을 진행할 예정”이라고 밝혔다.
